Addendum voor gegevensverwerking
Naar dit Addendum voor gegevensverwerking ("DPA") wordt verwezen in, en vormt een integraal onderdeel van, SharpSpring Ads's Algemene Voorwaarden (De "Servicevoorwaarden") en is van kracht na acceptatie van de Servicevoorwaarden. De termen die in deze DPA worden gebruikt, hebben de betekenis die hierin wordt uiteengezet. Termen met een hoofdletter die niet anders zijn gedefinieerd, hebben de betekenis die eraan wordt gegeven in de Servicevoorwaarden. Behalve zoals hieronder gewijzigd, blijven de voorwaarden uiteengezet in de Servicevoorwaarden volledig van kracht. Met inachtneming van de wederzijdse verplichtingen die hierin zijn uiteengezet, komen de partijen hierbij overeen dat de onderstaande algemene voorwaarden als een DPA aan de Servicevoorwaarden zullen worden toegevoegd.
1. Gegevensbescherming.
1.1 Definities:
(A) "Controller", "Processor", "Betrokkene" en "verwerken"; (en "werkwijze") hebben de betekenis die eraan wordt gegeven in de toepasselijke wetgeving inzake gegevensbescherming.
(B) "Toepasselijke gegevensbeschermingswet" betekent: i) vóór 25 mei 2018, Richtlijn 95/46 / EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens; en (ii) op en na 25 mei 2018, Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95 / 46 / EG (algemene verordening gegevensbescherming).
(C) "Persoonlijke gegevens" betekent alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door verwijzing naar een identificatienummer of naar een of meer factoren die specifiek zijn voor zijn fysieke, fysiologische, mentale, economische, culturele of sociale identiteit.
1.2 Relatie tussen de partijen: Jij de "Controller") SharpSpring Ads aanstellen als verwerker om de Persoonsgegevens beschreven in de Servicevoorwaarden en zijn DPA te verwerken. Elke partij zal deze DPA naleven en alle verplichtingen die erop van toepassing zijn onder de toepasselijke wetgeving inzake gegevensbescherming.
1.3 Verboden gegevens: U zult geen speciale categorieën van persoonlijke gegevens aan SharpSpring Ads bekendmaken (en niet toestaan dat gegevens openbaar worden gemaakt) voor verwerking.
1.4 Doelbinding: SharpSpring Ads verwerkt de Persoonsgegevens als verwerker indien nodig om zijn verplichtingen uit hoofde van de Servicevoorwaarden en / of strikt in overeenstemming met uw gedocumenteerde instructies (de "Toegestaan doel").
1.5 Internationale overschrijvingen: SharpSpring Ads zal geen Persoonsgegevens overdragen (noch toestaan dat Persoonsgegevens worden overgedragen) buiten de Europese Gebieden, tenzij het de maatregelen neemt die nodig zijn om ervoor te zorgen dat de overdracht in overeenstemming is met de Toepasselijke Gegevensbeschermingswetgeving. Dergelijke maatregelen kunnen (maar niet beperkt tot) het overdragen van de Persoonsgegevens omvatten aan een ontvanger in een land waarvan de Europese Commissie heeft besloten dat het persoonsgegevens voldoende bescherming biedt, aan een ontvanger die een bindende autorisatie voor bedrijfsregels heeft verkregen in overeenstemming met de Toepasselijke Gegevensbeschermingswet, om een ontvanger die deelneemt aan het EU-VS Privacy Shield-certificeringsprogramma, of aan een ontvanger die modelcontractbepalingen heeft uitgevoerd die zijn aangenomen of goedgekeurd door de Europese Commissie.
1.6 Vertrouwelijkheid van de verwerking: SharpSpring Ads zal ervoor zorgen dat elke persoon die hij machtigt om persoonlijke gegevens te verwerken (inclusief het personeel, agenten en onderaannemers van SharpSpring Ads) (een "Geautoriseerd persoon") is onderworpen aan een strikte geheimhoudingsplicht (of het nu een contractuele plicht is of een wettelijke plicht), en staat niet toe dat iemand Persoonsgegevens verwerkt die niet onder een dergelijke geheimhoudingsplicht vallen.
1.7 Veiligheid: SharpSpring Ads zal passende technische en organisatorische maatregelen implementeren om de persoonlijke gegevens te beschermen (i) tegen onbedoelde of onwettige vernietiging, en (ii) verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot de persoonlijke gegevens (een "Beveiligingsincident").
1.8 Uitbesteding: U stemt ermee in dat SharpSpring Ads externe subverwerkers inschakelt om persoonlijke gegevens te verwerken voor het toegestane doel, op voorwaarde dat: (i) SharpSpring Ads een bijgewerkte lijst bijhoudt van zijn subverwerkers die op verzoek aan u worden verstrekt, die het zal bijwerken met details van elke voorgestelde wijziging een redelijke termijn voordat een subverwerker wordt benoemd of vervangen; (ii) SharpSpring Ads legt gegevensbeschermingsvoorwaarden op aan elke subverwerker die door haar wordt aangewezen en die vereist dat deze de persoonlijke gegevens beschermt volgens de norm die vereist is door de toepasselijke gegevensbeschermingswet en deze DPA; en (iii) SharpSpring Ads blijft aansprakelijk voor elke schending van deze bepaling veroorzaakt door een handeling, fout of nalatigheid van zijn subverwerker. Een lijst met goedgekeurde subverwerkers is bijgevoegd Schema A. U kunt bezwaar maken tegen de aanstelling of vervanging van een subverwerker door SharpSpring Ads voorafgaand aan de aanstelling of vervanging ervan, op voorwaarde dat een dergelijk bezwaar is gebaseerd op redelijke gronden met betrekking tot gegevensbescherming. In dat geval zal SharpSpring Ads de subverwerker niet benoemen of vervangen of, als dit niet mogelijk is, kunt u de Servicevoorwaarden opschorten of beëindigen (onverminderd eventuele kosten die door u zijn gemaakt voorafgaand aan opschorting of beëindiging) na 30 dagen schriftelijk kennisgeving aan SharpSpring-advertenties.
1.9 Samenwerking en rechten van betrokkenen: SharpSpring Ads zal u alle redelijke en tijdige hulp bieden (inclusief door passende technische en organisatorische maatregelen) (op uw kosten) om u in staat te stellen te reageren op: (i) elk verzoek van een betrokkene om een van zijn rechten onder Toepasselijke gegevens uit te oefenen Beschermingswet (inclusief zijn rechten op toegang, correctie, bezwaar, wissing en gegevensportabiliteit, indien van toepassing); en (ii) enige andere correspondentie, vraag of klacht ontvangen van een betrokkene, toezichthouder of andere derde partij in verband met de verwerking van Persoonsgegevens. In het geval dat een dergelijk verzoek, correspondentie, onderzoek of klacht rechtstreeks bij SharpSpring Ads wordt ingediend, zal SharpSpring Ads u onmiddellijk informeren met volledige details hiervan.
1.10 Gegevensbeschermingseffectbeoordeling: SharpSpring Ads zal u redelijke medewerking verlenen (op uw kosten) in verband met een gegevensbeschermingseffectbeoordeling die u mogelijk moet uitvoeren onder de toepasselijke wetgeving inzake gegevensbescherming.
1.11 Beveiligingsincidenten: Wanneer SharpSpring Ads zich bewust wordt van een beveiligingsincident, zal SharpSpring Ads u zonder onnodige vertraging informeren en alle tijdige informatie en medewerking verstrekken die u nodig heeft om te voldoen aan de rapportageverplichtingen voor datalekken onder (en in overeenstemming met ) Toepasselijke wetgeving inzake gegevensbescherming. SharpSpring Ads zal verder alle maatregelen en acties ondernemen die nodig zijn om de gevolgen van het Beveiligingsincident te verhelpen of te verzachten en zal u op de hoogte houden van alle ontwikkelingen in verband met het Beveiligingsincident.
1.12 Verwijdering of teruggave van persoonlijke gegevens: Na beëindiging of het verstrijken van de Servicevoorwaarden, zal SharpSpring Ads (naar uw keuze) alle persoonlijke gegevens in zijn bezit of beheer vernietigen of aan u teruggeven (inclusief alle persoonlijke gegevens die aan een derde zijn uitbesteed voor verwerking). Deze vereiste is niet van toepassing voor zover SharpSpring Ads door enige EU-wetgeving (of enige EU-lidstaat) wordt vereist om sommige of alle persoonlijke gegevens te bewaren, in welk geval SharpSpring Ads de persoonlijke gegevens zal isoleren en beschermen tegen verdere verwerking. behalve voor zover vereist door dergelijke wetgeving.
1.13 audit: SharpSpring Ads staat u (of uw aangestelde externe auditors) toe om de naleving van deze DPA door SharpSpring Ads te controleren, en stelt u alle informatie, systemen en personeel ter beschikking die redelijkerwijs nodig zijn voor u (of uw externe auditors) om een dergelijke audit uit te voeren. SharpSpring Ads erkent dat u (of uw externe accountants) zijn terrein mag betreden om deze audit uit te voeren, op voorwaarde dat u een redelijke voorafgaande kennisgeving geeft van uw voornemen om een audit uit te voeren, uw audit tijdens normale kantooruren uit te voeren en alle redelijke maatregelen te nemen. om onnodige verstoring van de activiteiten van SharpSpring Ads te voorkomen. U zult uw auditrechten niet meer dan één keer per periode van 12 kalendermaanden uitoefenen, behalve (i) indien en wanneer vereist door instructie van een bevoegde gegevensbeschermingsautoriteit; of (ii) u denkt dat een verdere audit nodig is vanwege een beveiligingsincident.
Schema A: Bijlage 1 bij de modelcontractbepalingen
Gegevensexporteur
U bent de gegevensexporteur die services ontvangt onder de Servicevoorwaarden.
Gegevens importeur
De gegevensimporteur is een op internet toegankelijke software voor advertentieanalyseprovider die diensten levert onder de Servicevoorwaarden en gericht is op het meten, beheren en optimaliseren van de advertentiebudgetten en -inkomsten van zijn klanten.
Gegevenssubjecten
De overgedragen Persoonsgegevens hebben betrekking op de volgende categorieën betrokkenen: (i) internetgebruikers die toegang hebben tot de website van de gegevensexporteur en / of gebruik maken van de onlinediensten van de gegevensexporteur; (ii) geautoriseerde gebruikers van de SharpSpring Ads-applicatie; en / of (iii) potentiële en bestaande klanten van de gegevensexporteur.
Categorieën gegevens
Overgedragen Persoonsgegevens zijn onder meer: (i) Order-ID; (ii) Product-ID; (iii) Valutacode; (iv) Productcategorie; (v) Producteenheidsprijs; (vi) Conversietype; (vii) User-agent; (viii) Verwijzende aanvraag; en (ix) Onsite gedrag (paginaklikken).
Voor gebruikers van de SharpSpring Ads-applicatie kunnen de overgedragen Persoonsgegevens het volgende omvatten: (i) E-mailadres; (ii) voor- en achternaam; (iii) telefoonnummer; (iv) postadres voor werk; (v) creditcardgegevens; en (vi) bankgegevens.
Speciale gegevenscategorieën (indien van toepassing)
Persoonsgegevens die worden overgedragen, hebben betrekking op de volgende speciale categorieën gegevens: Geen.
Verwerkingsactiviteiten
De volgende verwerkingen zijn van toepassing zoals hieronder:
De gegevensimporteur verzamelt gegevens via de trackingpixel van SharpSpring Ads (cookie). Deze cookie wordt door de gegevensimporteur op de websites van de gegevensimporteur geplaatst voor het verzamelen van gegevens. Deze gegevens worden door de gegevensexporteur opgeslagen en verwerkt in zijn datacentra in Dublin, Ierland, Californië, VS, Virginia, VS en Singapore. De Persoonsgegevens die door de gegevensimporteur worden verwerkt, kunnen ook namens de gegevensimporteur worden gedeeld met bepaalde Advertentiebeurzen om te bieden op advertentie-eigendommen op internet. De gegevensimporteur gebruikt de volgende entiteiten als subverwerkers onder de Servicevoorwaarden:
- Salesforce Incorporated - https://www.salesforce.com/company/privacy/full_privacy/
- Marketo Inc. - https://documents.marketo.com/legal/privacy/
- Amazon Webservices - https://aws.amazon.com/privacy/
- Google - https://gsuite.google.com/security/ & https://policies.google.com/privacy?hl=en
- Mengpaneel - https://mixpanel.com/legal/privacy-policy/
- Intercom - https://www.intercom.com/terms-and-policies
- Mailgun - https://www.mailgun.com/gdpr
- MongoHQ - https://www.mongodb.com/cloud/compliance
- OpenRedis - https://openredis.com/privacy
- Heroku - https://www.heroku.com/policy/security
Schema A: Bijlage 2 bij de modelcontractbepalingen
Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur zijn geïmplementeerd in overeenstemming met clausules 4 (d) en 5 (c) (of bijgevoegd document / wetgeving):
- Voorkomen wordt dat onbevoegden toegang krijgen tot de gegevensverwerkingssystemen waarmee de overgedragen gegevens worden verwerkt of gebruikt (fysieke toegangscontrole):
- SharpSpring Ads vereist van zijn co-locatie faciliteitspartners om fysieke toegang te beperken tot mensen met voorafgaande toestemming en foto-identificatie. Het datacenter van SharpSpring Ads bevindt zich in een SSAE nr. 16 gecontroleerde Tier IV Gold-faciliteit. Alleen personen die zijn geautoriseerd door SharpSpring Ads hebben toegang tot de apparatuur van SharpSpring Ads. SharpSpring Ads vereist dat zijn providers verificatie van SharpSpring Ads-serviceverzoeken afdwingen; providers mogen niet proberen om enige vorm van toegang te krijgen tot de systemen van SharpSpring Ads zonder schriftelijke instructies van SharpSpring Ads. Buiten dit zijn geen externe fysieke verbindingen met SharpSpring Ads-systemen toegestaan, inclusief toetsenborden, beeldschermen en netwerkbewakingssystemen.
- Gegevensverwerkingssystemen kunnen niet zonder toestemming worden gebruikt (logische toegangscontrole):
- Gegevensverwerkingssystemen kunnen niet zonder toestemming worden gebruikt. Administratieve toegang tot de servers van SharpSpring Ads is beperkt tot getrainde en geautoriseerde leden van de gegevens
personeel van de importeur. Administratieve toegang tot de SharpSpring Ads-applicatie wordt strikt gecontroleerd door de gegevensimporteur voor geautoriseerde personen op een need-to-know-basis. Externe beheerderstoegang is alleen beschikbaar via cryptografisch beveiligde verbindingen. - De gegevensimporteur gebruikt een sterk wachtwoordbeleid en tweefactorauthenticatie voor toegang tot alle bedrijfscomputers. Toegang op afstand tot de bedrijfsnetwerken van de gegevensimporteur verloopt via beveiligde VPN. De gegevensimporteur slaat alle gegevens op achter zijn firewalls en maakt gebruik van geavanceerde waarschuwingssystemen om ongeautoriseerde toegang te detecteren. Alle toegangspogingen worden gelogd voor de applicaties en bedrijfssystemen van de gegevensimporteur.
- Gegevensverwerkingssystemen kunnen niet zonder toestemming worden gebruikt. Administratieve toegang tot de servers van SharpSpring Ads is beperkt tot getrainde en geautoriseerde leden van de gegevens
- Personen die gerechtigd zijn om een systeem voor de verwerking van persoonsgegevens te gebruiken, hebben alleen toegang tot de gegevens waarvoor zij toegang hebben in overeenstemming met hun toegangsrechten, en tijdens de verwerking of het gebruik en na opslag kunnen persoonsgegevens niet worden gelezen, gekopieerd, gewijzigd of verwijderd zonder toestemming (gegevenstoegangscontrole):
- De gegevensimporteur gebruikt een op rollen gebaseerd leveringsproces bij het verlenen van toegang tot de SharpSpring Ads-applicaties en zijn externe software voor klantrelatiebeheer (de "CRM"). Alleen individuen met een “need-to-know” -basis krijgen toegang tot klantgegevens in de SharpSpring Ads-applicaties en de CRM.
- De gegevensimporteur handhaaft een strikt achtergrondcontroleproces voor al het personeel en een streng gecontroleerd beëindigingsproces voor het intrekken van toegang. De gebruikersregistratie voor bedrijfssystemen wordt twee keer per jaar beoordeeld. De klanten van de gegevensimporteur beheren de gebruikersregistratie voor hun gebruikers in de SharpSpring Ads-applicaties.
- Persoonsgegevens kunnen niet zonder toestemming worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische verzending, transport of opslag op opslagmedia, en het is mogelijk om na te gaan en vast te stellen aan welke instanties de overdracht van persoonsgegevens door middel van datatransmissiefaciliteiten wordt overwogen. (transmissieregeling):
- Persoonlijke gegevens kunnen niet worden gelezen, gekopieerd, gewijzigd of verwijderd zonder toestemming tijdens elektronische verzending, transport of opslag. Alle persoonlijke gegevens in de SharpSpring Ads-applicaties worden beschermd achter beveiligde firewalls en alle toegang tot de gegevensopslag wordt gelogd in de SharpSpring Ads-applicaties en in de serverlogboeken. SharpSpring Ads gebruikt waarschuwingssoftware om waarschuwingen te geven voor ongeautoriseerde toegang. Inloggegevens voor de SharpSpring Ads-applicatie worden gehasht in de opslag en gecodeerd tijdens verzending.
- Het is mogelijk om te controleren en vast te stellen of en door wie persoonsgegevens zijn ingevoerd, gewijzigd in of verwijderd uit gegevensverwerkingssystemen (ingangscontrole):
- Het is mogelijk om met terugwerkende kracht te onderzoeken en vast te stellen of en door wie persoonsgegevens zijn verwerkt, geopend of gewijzigd. De SharpSpring Ads-applicaties en CRM-systemen bevatten robuuste logboekfuncties die identificeren wanneer gegevens worden geopend, gewijzigd of verwijderd. De gegevensimporteur en zijn klanten bekijken deze logboeken regelmatig.
- Persoonsgegevens die worden verwerkt op basis van verwerking in opdracht, worden strikt verwerkt in overeenstemming met de instructies van de verantwoordelijke voor de verwerking (taakcontrole):
- De gegevensimporteur verwerkt alleen persoonsgegevens op basis van de instructies van de gegevensexporteur zoals beschreven in de toepasselijke dienstenovereenkomst tussen de partijen.
- Persoonlijke gegevens zijn beschermd tegen onbedoelde vernietiging of verlies (beschikbaarheidscontrole):
- De gegevensimporteur handhaaft dagelijks passende en regelmatige back-upprocedures om onbedoelde vernietiging of verlies van persoonsgegevens te voorkomen. De gegevens worden op regelmatige tijdstippen gedurende de dag geback-upt en elke volledige gegevensback-up wordt elke 24 uur uitgevoerd.